谷歌开源Allstar 项目,保护GitHub 仓库安全
编译:代码卫士
谷歌开源 Allstar 项目,通过不断监控和执行一系列安全策略来保护 GitHub 项目的安全,从而阻止基本的安全配置错误问题。
Allstar 是一款 GitHub app,可安装在组织机构和用户账户中,访问必要的仓库。Allstar 首先读取包含一系列用户定义规则即安全策略的配置文件,接着不断扫描并检查项目的设置和最近活动,确保项目的敏感区域未做出任何修改。
如果最近的项目更新打破了其中一个安全策略,Allstar 能够:
记录安全策略违规;
开设 GitHub 问题,通知管理员
或者采取自动化措施修复或更改项目设置,使其符合最初的 Allstar 配置。
Allstar 未来的开发计划还包括增加如下能力:当安全检查失败时通过邮件告知管理员,如策略崩溃时禁止被合并到仓库,或者通过 RPC 调用向第三方 app 通知跨平台更新。
目前,虽然Allstar 支持如下安全策略的配置选项,但谷歌表示未来该项目还将支持更多:
检查仓库的“分支防护“功能是否仍启用
检查项目的自动化依赖关系选项是否活跃
检查项目已冻结依赖关系
检查仓库管理员是否为某个特定 GitHub 组织机构的一部分
检查二进制工件(文件)是否上传至项目
检查 SECURITY.md 文件是否存在于仓库,确保bug已被负责任地报告
虽然Allstar 最初是由谷歌开发的,不过该项目现在已经通过开源安全基金会 (OpenSSF) 公开。该基金会由当前最大的技术公司创建,以帮助引导、指导和共享开源安全工具。除谷歌外,OpenSSF 还包括了更多成员如 GitHub、微软、Canonical、思科、Facebook、Intel、惠普、IBM、Red Hat、三星等。
谷歌开源容器镜像的签名和验证工具 Cosign
谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全
https://therecord.media/google-open-sources-allstar-a-tool-to-protect-github-repos/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。